CN105409186B - 用于用户认证的系统及方法 - Google Patents
用于用户认证的系统及方法 Download PDFInfo
- Publication number
- CN105409186B CN105409186B CN201480032360.8A CN201480032360A CN105409186B CN 105409186 B CN105409186 B CN 105409186B CN 201480032360 A CN201480032360 A CN 201480032360A CN 105409186 B CN105409186 B CN 105409186B
- Authority
- CN
- China
- Prior art keywords
- server
- ciphertext
- identifier
- password
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本申请涉及当用户希望访问远程服务时的用于用户认证的系统或方法。本发明提出一种通过实现连接到公共网络的第一服务器以及连接到第一服务器但不连接到公共网络的第二服务器来对用户认证的方法,该方法包括注册步骤,包括:‑由第一服务器接收参考识别符U和参考密码P,并将这个信息发送到第二服务器,‑由第二服务器加载安全参数R,并通过对参考识别符U、参考密码P和安全参数R执行单向函数Hash来计算第一密文H,‑通过使用非对称加密方法至少对参考识别符U和密码P加密,并且由第二服务器存储已加密的数据,‑向第一服务器返回第一密文H并由第一服务器存储所述密文,以及用户验证步骤,包括:‑由第一服务器接收当前识别符IT和当前密码P′,并将所述信息发送到第二服务器,‑由第二服务器对当前识别符U′、当前密码P′和安全参数R执行单向函数Hash来计算第二密文H′,‑向第一服务器返回第二密文H′并验证数据库中是否包括第一密文,如果不包括,则生成错误消息。
Description
介绍
本申请涉及当用户希望访问远程服务时用于用户认证的系统或方法。
背景
在用户希望访问在线服务的私用部分时,很多在线服务需要用户识别及认证,例如访问它的FacebookTM空间或能够阅读它的消息。为了做到这点,所述服务的服务器需要用户给出识别符和密码。
使用由服务器所存储的参考数据来验证这些数据,一方面用于检查识别符在服务器中被很好地索引,并且另一方面检查密码对应于参考密码。一旦已经完成这些验证,服务器授权所述用户访问服务。
现有技术
当前的解决方案已经考虑到在数据库中存储明文信息的风险,即使上述信息受到保护。这就是为什么第一种方案包括对识别符和密码执行诸如为SHA-1或MD5的哈希函数(单向函数),并且用这种形式存储两个信息:应当注意的是,这些哈希函数被视为是单向的,即,不可能使用哈希值计算原始值。
然而,已经发现在窃取数据期间,通过连续尝试使得一些专用工具(例如强力破解、字典破解)能够发现明文的密码。有待评价的更昂贵的加密函数的使用,例如标准NISTPBKDF2,已经致使这些破解更不有效。
另一种方案是以加密形式在材料安全元件中存储这些敏感数据。黑客的想象力和判断力是无限的,并且甚至这样的安全元件不能免遭窃取。
在这些不同的方案中,敏感数据被存储在唯一位置,因此这将吸引怀着非法获取关于用户的私人信息的目的的黑客的注意力。
另一个问题是本发明提出解决关于更新密码的安全性。的确,如果服务器希望用提供有更多安全性的新函数来修改哈希函数,则有必要警告每个用户以用它的密码识别本人,所述密码因第一哈希函数而得到验证。然后,邀请用户输入将由第二哈希函数编码并且接下来被存储的新密码。这种更新典型地由对适应黑客及合法用户的计算能力的需求促起。
文献US 2007/0234408描述了一种在访问目标资源(第二要素)时认证第一用户(第一要素)的方法。根据实施例,认证服务接收诸如为用户名和密码的第一组证书。在成功验证第一组证书后,目标资源能够识别请求者并访问它的私人数据。认证服务接下来请求关于从第一组证书得到的识别的第二组证书。
文献US 2003/0131264描述了一种允许在非LDAP区域(用于轻量目录访问协议)内订户漫游和密码认证的系统及方法。用户在依次连接到区域LDAPRADIUS服务器的网络接入服务器上签名。密码认证通过哈希被发送的密码并将它与LDAP数据库中已经被以与被发送的密码相同的方式哈希的明文文本密码相比较来发生。当订户在非LDAP区域时,密码经由代理服务器传送到连接到非LDAP服务器的区域RADIUS服务器。非LDAP服务器连接到SMS数据库并且检索与非LDFSAP用户相关联的明文文本密码,根据与被发送的已被哈希的密码相同的方法哈希它并且格式化密码以用于区域RADIUS服务器中的比较。如果被哈希的密码匹配,则允许访问。
文献US2004/0123159描述了一种在使用无线技术来远程提供网络管理服务给被管理的实体时避免使用网页服务器或一般安全性的方法、系统和装置。替代地,不操作为网页服务器的真实代理设备被用于预处理来自无线输入设备(WID)的全部命令业务量。在WID与代理的受管理的实体之间进行介入,实现了包括能够跨互联网和在防火墙后传递TELNET服务的多个带宽和安全性优点,该介入隔离受管理的实体和WID,通过使用新的消息协议进行编码来增强,进一步通过基于多个预分享的密钥和算法结合未发送的识别符和密码的新的安全性模型来增强。
发明内容
本发明有两个目的,即,一方面,加强对密码和用户识别符保护的安全性;以及另一方面,允许无需用户介入的安全性的更新。这些目的能够被单独或组合实现。
本发明提出一种用户认证方法,实现连接到公共网络的第一服务器和连接到第一服务器但不连接到公共网络的第二服务器,该方法包括注册步骤,所述注册步骤包括:
-由所述第一服务器接收参考识别符U和参考密码P,
-将参考识别符U和参考密码P发送到所述第二服务器,
-由第二服务器加载安全参数R,
-由第二服务器通过对参考识别符U、参考密码P和安全参数R执行单向函数Hash来计算第一密文H,
-通过使用非对称加密方法以公钥作为参数至少对参考识别符U和密码P加密,并且存储由第二服务器加密的数据,
-向第一服务器返回第一密文H并由第一服务器存储所述密文,
以及用户验证步骤,包括:
-由第一服务器接收当前识别符U'和当前密码P',
-将当前识别符U'和当前密码P'发送到第二服务器,
-由第二服务器对当前识别符U'、当前密码P'和安全参数R执行单向函数Hash来计算第二密文H',
-向第一服务器返回第二密文H'并验证数据库中是否包括第一密文,如果不包括,则生成错误消息。
本发明基于使用两个服务器,每个服务器都不具有关于用户的完整的数据。第一服务器包括第一数据库并且第二服务器包括第二数据库。
具体地,与公网通信的前端服务器(或第一服务器)不处理那些如果被盗对恶意第三方有用的敏感信息。
第一服务器在第一受保护的数据库中存储每个用户的记录,根据第一版本,该记录仅包括第一密文H。
第二服务器在第二受保护的数据库中存储安全参数R和三重识别符、密码和安全参数的加密。
应当注意的是,单向函数仅被第二服务器知晓,该函数能够被仅由第二服务器知晓的密钥初始化。
附图说明
本发明因附图而得到更好的理解,其中:
-图1示出注册的步骤,
-图2示出验证的步骤。
具体实施方式
本发明的系统包括至少两个服务器,第一服务器S1(前端)可由一个或多个用户访问,第二服务器S2(后端)本地连接到第一服务器S1。第一服务器和第二服务器之间的连接受到保护,即,确保交换数据的机密性和完整性。这些服务器中的每一个具有存储用于用户认证的数据的数据库。
系统一旦被执行,第二服务器就初始化将被存储在所述服务器的第二受保护的数据库中的安全参数R。应当注意的是,在第一服务器提供多于一个服务的情况下,该参数可以取决于请求的应用。例如对于提供对私人账户或交易账户的管理访问的银行而言,为此情况。在该情况下,这些服务中的每一个可以对应于不同的安全参数。
为了允许第二服务器选择正确的参数,如果第二服务器控制多个服务,则从第一服务器向第二服务器发送的第一消息还将包括请求认证的服务的类型。
注册
第一步骤是在诸如图1所示的系统中注册用户。在传统的方式中,邀请该用户在第一服务器S1的接口中引入参考识别符U和参考密码P。这两个信息被通过安全连接发送给第二服务器S2。第一服务器能够添加诸如为服务类型和/或为所提出的服务而分配给该用户的系统识别符的附加信息。参考识别符U为用户知晓的参考识别符,而系统识别符是提供服务的系统的数字或字母数字序列。系统识别符对用户来讲是唯一的。
一旦第二服务器S2接收到这个信息,第二服务器S2就确定安全参数R并且对参考识别符U和密码P执行单向函数Hash。结果为密文H=Hash(U,P,R)。这个结果H被发送到第一服务器S1,第一服务器S1将它存储在它的安全数据库中。
第二服务器S2还使用非对称加密方法采用所述服务器S2存储的公钥作为变量对参考识别符U和密码P加密,对应的私钥被以安全方式存储在网络外部(例如在物理的保险柜内)。可选地,被加密的单元能够包括安全参数R,因而允许知晓哪个参数已经被这个用户使用。
所述非对称加密方法能够例如基于RSA或椭圆曲线。
如上文指出的,第一服务器S1在它的安全数据库中存储第一密文H。因而,在验证期间,第一服务器在接收到来自第二服务器的第二密文H'之后,将扫描它的数据库以便于确定第一密文H是否具有与第二密文H'相同的值,并且因而确定认证是否成功。
在这个实施例中,在接受用户所选择的数据之前添加验证是可能的,即,验证数据库中还不存在这个用户的第一密文H是可能的。例如在该情况下,让用户选择另一个密码。
根据本发明的变型,为每个第一密文H存储参考识别符U或这个参考识别符的派生结果是可能的。具体为参考密码P的其他信息在注册阶段结束时被删除。
当前识别符U的派生结果是从对当前识别符U的加密操作得到的值。这能够是加密函数或哈希函数H1。在这个第二种情况下,由于第二服务器执行的哈希操作不为第一服务器所知晓,所以,它将是不同的哈希类型的函数。
认证
这个步骤在图2中示出。在第二时间,用户连接到第一服务器S1以访问期望的服务。第一服务器S1接收当前识别符U'和当前密码P'。第一服务器S1将该信息以安全的方式发送给第二服务器S2。一旦被第二服务器接收到,第二服务器对当前识别符U'和密码P'以及安全参数R执行Hash单向函数以获得第二密文H'。它将这个密文H'返回给第一服务器S1。后者在它的数据库中查找是否存在与第二密文相同的第一密文,并且如果并仅是如果未发现这个密文H',则生成错误消息。在其他情况下,第一服务器S1能够认证对所期望的服务的访问。
如果在第一服务器S1中存储有仅仅通过注册阶段的密文H用户,则在向第二服务器发送数据之前,在它的数据库中存在条目的这一验证步骤不能被完成。事实上,第一服务器S1不能确定当前识别符是否已经在系统中注册。相同的操作是为注册的识别符实现而非为非注册的识别符实现,使用系统作为预言(oracle)来确定识别符是否已经被注册是不可能的。
如果第一服务器连接到若干执行该服务的计算机,则第一服务器将向所述计算机发送当前识别符U'(由于比较结果是肯定的,当前识别符U'与参考识别符U相同)和肯定的认证信息。如果计算机池使用唯一系统识别符操作,则第一服务器S1具有组织为记录集合的数据库,每个用户表现为一条记录。记录包括第一密文H和对应的系统识别符。在肯定验证的情况下,第一服务器以验证当前识别符的肯定验证的消息向业务服务器发送系统识别符。
在变型中,其中,第一服务器保持第一参考密文H、参考识别符U(或参考识别符的派生结果),由于参考密文H能够被直接找到,第一服务器的数据库扫描是不必要的。如果第一服务器的安全数据库包含参考识别符U的派生结果,则第一服务器将对当前识别符U'执行加密操作以获得当前识别符的派生结果并且使用该数据来找到参考密文H。因而能够获得第一参考密文H和从第二服务器S2接收的第二当前密文H'之间的比较。
如果未发现这个识别符,则它生成错误消息。应当注意的是,在向第二服务器发送数据之前,在它的数据库中存在条目的这一验证步骤能够被执行。事实上,如果第一服务器不知晓当前识别符,将没必要验证已经由用户输入的密码。
密码更新
系统的特征是在不修改密码值的情况下使能安全方式(mean)更新。例如期望改变安全参数R或单向函数Hash。
为此目的,第二服务器S2具有加密形式的参考识别符U和密码P。与用于加密的非对称密钥对应的私钥从存储它的受保护的地方提取并且使得对于第二服务器S2而言可利用。
过程如下:
-在注册阶段期间,第二服务器解密识别符/密码对并计算第一密文。而且,它基于安全参数的新值计算新参考密文或使用新单向函数或甚至二者的组合。这个新密文与第一密文H一起被发送给第一服务器S1。如果安全参数R被包括在识别符/密码对中,则它也被解密。
-同样,服务器S2还使用非对称加密方法采用所述服务器S2存储的公钥作为变量根据新参数(单向函数和/或安全参数)对参考识别符U和密码P加密,对应的私钥以受保护的方式被存储在网络外部(例如,在物理的保险柜内)。可选地,加密单元能够包括安全参数R,因而允许知晓哪个参数已经为这个用户使用。这些新编码的数据存储在第二服务器S2的数据库中。
-收到这两个密文之后,第一服务器S1查找在它的数据库中存储的参考密文H并且用新密文替代它。因而,在不请求用户重新输入密码的情况下,安全方法能够推进。
安全参数
在本发明的范围内能够提供用于安全参数R的若干版本。如上文指出的,这可以是第二服务器S2的参数并且因而被存储在它的安全存储器中。它被用于密文H、H'的全部计算。
安全参数R的主要目的是适应Hash函数对于破解者的技术和服务器的技术的计算开销。例如,并且分别地,在新的字典破解方法被发现时,或在服务器S2材料用更强大的处理器更新时。计算开销涉及例如函数评价所必要的数学操作的量或存储器的容量(存贮器)。
根据变型,这个参数能够根据用户请求的服务类型变化,并且指示服务类型Sn的信息是与第一服务器发送给第二服务器的识别符/密码相关联的。这允许找到用于加密计算的第二服务器的安全存储器中的这一服务的安全参数(R1,R2...Rn)。
根据另一个实施例,安全参数R特定于参考识别符Un并且因而特定于用户。在注册阶段,在接收到识别符/密码对之后,第二服务器S2用随机函数生成参数Rn。因此,在认证阶段,第二服务器S2能够找到安全参数Rn是必要的。为此目的,第二服务器将在它的数据库中存储特定于识别符Un的安全参数Rn。当然,它能够在安全存储器中简单存储Un、Rn对。然而,更好的是识别符Un不以明文的形式存储并且因而对识别符Un执行单向函数H'以获得密文H'(Un)。第二服务器的安全存储器将存储H'(Un)、Rn对。
即使这些数据不得不被破解者从存储器中提取,找到识别符Un的值将是不可能的。
在认证阶段,第二服务器一旦已经接收来自第一服务器的当前识别符/密码对,就对当前识别符U'执行单向函数H'。因而,它将能够在它的数据库中找到关于这个识别符的安全参数Rn并且计算密文C'。
单向函数
存在若干类型的单向函数。具体的函数称为哈希函数(hashing function),它根据被提供的输入数据计算用于尽管不完整、但是快速识别原始数据的图案。哈希函数通常用于实现加密数据和协议的结构。
出于安全原因,密码不应该以明文的形式存储在机器中。因而仅存储密码哈希的结果。为识别用户,计算机比较原始密码(存储的)的图案和请求的密码的图案。然而,这种工作方式并不完全令人满意。如果两个用户决定使用相同的密码,则哈希结果将会相同。这一错误对于三种方法而言潜在地可用:
字典破解
强力破解
彩虹表破解
在字典破解期间,一方能够理性地推断两个用户选择的密码相对易于记忆。
为对抗这类破解,在初始生成图案期间添加随机分量(安全参数R)。这个分量也称为《sel》,其通常不以明文存储。然后密码与安全参数R混合,这一步骤取决于系统而变化。简单的方法是把密码与安全参数R连接起来。如果安全参数R对于两个用户来说不同,则使用相同的密码将获得两个不同的签名。这强有力地降低了通过彩虹表破解的范围,但并未免遭字典或强力破解。
算法SHA-1(安全算法哈希(hash)1:160比特)和MD5(更老并且更不可靠的消息摘要算法5,128比特)是频繁使用的哈希函数。标准SHA-2和SHA-3(224、256、384或512比特)可用于替代SHA-1。
还存在取决于密钥的哈希函数。这例如是算法HMAC-SHA-1的情况,它在架构HMAC中使用SHA-1以接受密钥作为参数。安全参数R在这类取决于密钥的函数中能够扮演关键的角色。
能够使用诸如为bcrypt或scrypt的用于密码的其他优化的加密算法。Bcrypt是由Niels Provos和David Mazières创造的加密函数并且基于Blowfish加密算法。还使用免受彩虹表破解(彩虹表)的安全参数,bcrypt是自适应函数,即,为了致使它更慢而增加迭代的数量是可能的。因而,尽管增强计算能力,它连续阻击通过详尽研究进行的破解。
Claims (12)
1.一种通过实现连接到公共网络的第一服务器(S1)和连接到第一服务器(S1)但不连接到公共网络的第二服务器(S2)来对用户认证的方法,该方法包括注册步骤,包括:
-由所述第一服务器(S1)接收参考识别符(U)和参考密码(P),
-将所述参考识别符(U)和所述参考密码(P)发送到所述第二服务器(S2),
-由所述第二服务器(S2)加载安全参数(R),
-由所述第二服务器(S2)通过对所述参考识别符(U)、参考密码(P)和安全参数(R)执行单向函数来计算第一密文(H),
-通过使用非对称加密方法以公钥作为变量来至少对所述参考识别符(U)和密码(P)加密,并且将已加密的数据存储在所述第二服务器(S2)中,
-向所述第一服务器返回所述第一密文(H)并将所述第一密文(H)存储在所述第一服务器(S1)中,
以及用户验证步骤,包括:
-由所述第一服务器(S1)接收当前识别符(U')和当前密码(P'),
-将所述当前识别符(U')和所述当前密码(P')发送到所述第二服务器(S2),
-由所述第二服务器(S2)对所述当前识别符(U')、当前密码(P')和安全参数(R)执行所述单向函数来计算第二密文(H'),
-向所述第一服务器返回所述第二密文(H')并验证其数据库中是否包括第二密文(H'),如果不包括,则生成错误消息。
2.根据权利要求1的所述方法,其特征在于,所述第二服务器(S2)包括密码(P)和所述参考识别符(U)的加密中的所述安全参数(R)。
3.根据权利要求1或2所述的方法,其特征在于,所述验证其数据库中是否包括第二密文(H')包括数据库的扫描步骤以便于找到与所述第二密文(H')相同的所述第一密文(H)。
4.根据权利要求1或2所述的方法,其特征在于,所述第一服务器(S1)在注册期间存储包括所述第一密文(H)和所述参考识别符(U)或所述参考识别符的派生结果的记录,以及特征在于所述验证其数据库中是否包括第二密文(H')包括确定对应于接收到的当前识别符(U')的记录和与所述参考识别符(U)相关联的所述第一密文(H)的之前的步骤。
5.根据权利要求1或2所述的方法,其特征在于,所述第一服务器(S1)在注册期间存储包括所述第一密文(H)和系统识别符的记录,以及特征在于在肯定验证的情况下,使用确认所述当前识别符(U')的肯定验证的消息向业务服务器发送所述系统识别符。
6.根据权利要求1或2所述的方法,其特征在于,其包括存储在所述第一服务器(S1)中的所述第一密文(H)通过使用新的单向函数和/或新的安全参数来更新的步骤,包括如下步骤:
-由所述第二服务器(S2)获得对应于所述公钥的私钥,
-使用所述私钥对所述参考识别符(U)和所述密码(P)解密,
-通过由所述第二服务器(S2)对所述参考识别符(U)、参考密码(P)和安全参数(R)执行单向函数来计算所述第一密文(H),
-通过由所述第二服务器(S2)对所述参考识别符(U)、参考密码(P)和所述新的安全参数执行新的单向函数计算新密文,
-向所述第一服务器(S1)发送所述第一密文(H)和所述新密文,
-由所述新密文替代所述第一服务器(S1)中的所述第一密文(H)。
7.根据权利要求1或2所述的方法,其特征在于,对所述第一服务器(S1)和所述第二服务器(S2)之间的通信加密。
8.一种用户认证系统,包括连接到包括第一数据库的公共网络的第一服务器(S1),以及包括第二数据库的第二服务器(S2),所述第二服务器(S2)连接到所述第一服务器(S1)但不连接到所述公共网络,所述第一服务器(S1)包括装置以:
-接收参考识别符(U)和参考密码(P),
-将该参考识别符(U)和该参考密码(P)发送到所述第二服务器(S2),
-接收并在所述第一数据库中存储关于所述参考识别符(U)和所述参考密码(P)的第一密文(H),
-接收当前识别符(U')和当前密码(P'),
-向所述第二服务器(S2)发送所述当前识别符(U')和当前密码(P'),
-接收关于所述当前识别符(U')和当前密码(P')的第二密文(H'),
-验证所述第一数据库中是否存在一个与所述第二密文(H')具有相同值的所述第一密文(H),并且在肯定验证的情况下,
-发送确认肯定验证的消息,
所述第二服务器(S2)包括装置以:
-接收来自所述第一服务器(S1)的所述参考识别符(U)和所述参考密码(P),
-加载安全参数(R),
-通过对所述参考识别符(U)、参考密码(P)和安全参数(R)执行单向函数来计算所述第一密文(H),
-通过使用非对称加密方法以公钥作为变量对所述参考识别符(U)和密码(P)加密,并且将这些已加密的数据存储在所述第二服务器中,
-向所述第一服务器返回所述第一密文(H),
-接收来自所述第一服务器(S1)的所述当前识别符(U')和所述当前密码(P'),
-加载所述安全参数(R),
-通过对所述当前识别符(U')、当前密码(P')和安全参数(R)执行所述单向函数来计算所述第二密文(H'),
-向所述第一服务器返回所述第二密文(H)。
9.根据权利要求8所述的系统,其中,所述第二服务器(S2)包括密码(P)和所述参考识别符(U)的加密中的所述安全参数(R)。
10.根据权利要求8或9所述的系统,其中验证在所述第一服务器(S1)中是否存在一个所述第一密文(H)的装置包括扫描所述数据库以便于找到与所述第二密文(H')相同的第一密文(H)的装置。
11.根据权利要求8或9所述的系统,其中,所述第一服务器(S1)包括装置以:
-在注册期间,存储包括所述第一密文(H)和所述参考表示符(U)或所述参考识别符的派生结果的记录,
以及其中在验证在其数据库中是否包括所述第二密文(H')中,包括确定对应于接收到的当前识别符(U')的记录和与所述当前识别符(U')相关联的所述第一密文(H)的之前的步骤。
12.根据权利要求11所述的系统,其中,所述第一服务器(S1)包括装置以,在所述注册期间,存储包括所述第一密文(H)和系统识别符的记录,以及在肯定验证的情况下,使用确认所述当前识别符(U')的肯定验证的消息向业务服务器发送所述系统识别符。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP13170745.7 | 2013-06-06 | ||
| EP13170745.7A EP2811708B1 (fr) | 2013-06-06 | 2013-06-06 | Système et méthode pour l'authentification d'un utilisateur |
| PCT/EP2014/060261 WO2014195122A1 (en) | 2013-06-06 | 2014-05-19 | System and method for user authentication |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105409186A CN105409186A (zh) | 2016-03-16 |
| CN105409186B true CN105409186B (zh) | 2018-12-04 |
Family
ID=48577561
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480032360.8A Active CN105409186B (zh) | 2013-06-06 | 2014-05-19 | 用于用户认证的系统及方法 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9491174B2 (zh) |
| EP (1) | EP2811708B1 (zh) |
| CN (1) | CN105409186B (zh) |
| BR (1) | BR112015030513B1 (zh) |
| CA (1) | CA2913444C (zh) |
| DK (1) | DK2811708T3 (zh) |
| ES (1) | ES2605929T3 (zh) |
| WO (1) | WO2014195122A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6378567B2 (ja) * | 2014-07-23 | 2018-08-22 | キヤノン株式会社 | 装置、方法、プログラム |
| US10803175B2 (en) | 2015-03-06 | 2020-10-13 | Microsoft Technology Licensing, Llc | Device attestation through security hardened management agent |
| ES2924347T3 (es) * | 2015-03-26 | 2022-10-06 | Nagravision Sa | Método y sistema para buscar al menos un dato específico en una unidad de usuario |
| CN107509191A (zh) * | 2016-06-14 | 2017-12-22 | 中兴通讯股份有限公司 | 终端设备远程控制方法及对应终端设备 |
| CN109644128A (zh) * | 2016-06-30 | 2019-04-16 | 诺基亚技术有限公司 | 安全数据处理 |
| US10901970B2 (en) * | 2017-02-27 | 2021-01-26 | Mastercard International Incorporated | One-way hashing methodology for database records |
| CN109842506B (zh) * | 2017-11-27 | 2022-08-12 | 财付通支付科技有限公司 | 密钥管理系统容灾处理方法、装置、系统和存储介质 |
| US11102180B2 (en) * | 2018-01-31 | 2021-08-24 | The Toronto-Dominion Bank | Real-time authentication and authorization based on dynamically generated cryptographic data |
| JP6936174B2 (ja) * | 2018-03-12 | 2021-09-15 | シャープ株式会社 | 情報処理システム、サーバ、及び関連情報生成方法 |
| CN108737390B (zh) * | 2018-05-03 | 2020-05-15 | 华南农业大学 | 保护用户名隐私的认证方法及系统 |
| CN108874604B (zh) * | 2018-06-28 | 2021-07-06 | 郑州云海信息技术有限公司 | 一种验证加密设备加密数据真实性的方法及系统 |
| JP6757861B1 (ja) * | 2018-12-26 | 2020-09-23 | 楽天株式会社 | 認証システム、認証方法、及びプログラム |
| WO2020241995A1 (ko) * | 2019-05-24 | 2020-12-03 | 광주과학기술원 | 블록체인의 거래검증시스템, 및 블록체인의 거래검증방법 |
| TWI729812B (zh) * | 2020-05-15 | 2021-06-01 | 昕力資訊股份有限公司 | 加密和驗證敏感參數的電腦程式產品和裝置 |
| CN113573346B (zh) * | 2021-07-12 | 2023-10-20 | 中国联合网络通信集团有限公司 | 一种数据处理方法及装置 |
| US12107847B2 (en) * | 2022-04-11 | 2024-10-01 | Sap Se | Password reset using an asymmetric encryption key pair |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426190A (zh) * | 2007-11-01 | 2009-05-06 | 华为技术有限公司 | 一种服务访问认证方法和系统 |
| CN101771676A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种跨域授权的设置、鉴权方法、相关装置及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7099475B2 (en) * | 2000-12-07 | 2006-08-29 | Road Runner Holdco Llc | System and method for password authentication for non-LDAP regions |
| US7454785B2 (en) * | 2002-12-19 | 2008-11-18 | Avocent Huntsville Corporation | Proxy method and system for secure wireless administration of managed entities |
| US7739744B2 (en) * | 2006-03-31 | 2010-06-15 | Novell, Inc. | Methods and systems for multifactor authentication |
| US8094812B1 (en) * | 2007-09-28 | 2012-01-10 | Juniper Networks, Inc. | Updating stored passwords |
| CN101459513B (zh) * | 2007-12-10 | 2011-09-21 | 联想(北京)有限公司 | 一种计算机和用于认证的安全信息的发送方法 |
| US8527758B2 (en) * | 2009-12-09 | 2013-09-03 | Ebay Inc. | Systems and methods for facilitating user identity verification over a network |
| US9294281B2 (en) * | 2012-02-10 | 2016-03-22 | Microsoft Technology Licensing, Llc | Utilization of a protected module to prevent offline dictionary attacks |
-
2013
- 2013-06-06 DK DK13170745.7T patent/DK2811708T3/en active
- 2013-06-06 EP EP13170745.7A patent/EP2811708B1/fr active Active
- 2013-06-06 ES ES13170745.7T patent/ES2605929T3/es active Active
-
2014
- 2014-05-19 CA CA2913444A patent/CA2913444C/en active Active
- 2014-05-19 WO PCT/EP2014/060261 patent/WO2014195122A1/en active Application Filing
- 2014-05-19 BR BR112015030513-0A patent/BR112015030513B1/pt active IP Right Grant
- 2014-05-19 CN CN201480032360.8A patent/CN105409186B/zh active Active
- 2014-05-28 US US14/289,015 patent/US9491174B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101426190A (zh) * | 2007-11-01 | 2009-05-06 | 华为技术有限公司 | 一种服务访问认证方法和系统 |
| CN101771676A (zh) * | 2008-12-31 | 2010-07-07 | 华为技术有限公司 | 一种跨域授权的设置、鉴权方法、相关装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2811708A1 (fr) | 2014-12-10 |
| CN105409186A (zh) | 2016-03-16 |
| CA2913444A1 (en) | 2014-12-11 |
| CA2913444C (en) | 2021-06-22 |
| DK2811708T3 (en) | 2017-01-16 |
| US20150052350A1 (en) | 2015-02-19 |
| BR112015030513B1 (pt) | 2022-12-06 |
| BR112015030513A2 (pt) | 2017-07-25 |
| ES2605929T3 (es) | 2017-03-17 |
| EP2811708B1 (fr) | 2016-09-28 |
| US9491174B2 (en) | 2016-11-08 |
| WO2014195122A1 (en) | 2014-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105409186B (zh) | 用于用户认证的系统及方法 | |
| US11496310B2 (en) | Methods and systems for universal storage and access to user-owned credentials for trans-institutional digital authentication | |
| KR102493744B1 (ko) | 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버 | |
| US9350548B2 (en) | Two factor authentication using a protected pin-like passcode | |
| US9330245B2 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
| Kaur et al. | A Secure Two‐Factor Authentication Framework in Cloud Computing | |
| US9154304B1 (en) | Using a token code to control access to data and applications in a mobile platform | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| RU2713604C1 (ru) | Регистрация и аутентификация пользователей без паролей | |
| US12047500B2 (en) | Generating keys using controlled corruption in computer networks | |
| US8601264B2 (en) | Systems and methods of user authentication | |
| JP5489775B2 (ja) | 秘密鍵共有システム、方法、データ処理装置、管理サーバ、及びプログラム | |
| US9954853B2 (en) | Network security | |
| US20150328119A1 (en) | Method of treating hair | |
| KR102372503B1 (ko) | 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버 | |
| Klevjer et al. | Extended HTTP digest access authentication | |
| US9455973B1 (en) | Secure storage and retrieval of data in a database with multiple data classes and multiple data identifiers | |
| WO2018051236A1 (en) | Protection of authentication tokens | |
| Corella et al. | Strong and convenient multi-factor authentication on mobile devices | |
| Tysowski | OAuth standard for user authorization of cloud services | |
| Kamboj et al. | Security Keys: Modern Security Feature of Web | |
| KR20230024279A (ko) | 컴퓨터 네트워크에서 제어된 손상을 이용하여 키를 생성하는 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |